Google “ataca” a Apple e publica falhas de segurança do OS X
De um momento para o outro, a Google decidiu começar a “caça aos bugs” em software de terceiros. Depois de revelados publicamente alguns bugs no sistema operativo da Microsoft, que levou até a empresa de Redmond a fazer algumas críticas (ignoradas pela Google), a gigante das pesquisas decidiu mudar o alvo e agora divulgou três falhas de segurança do MacOS.
Chama-se Project Zero e, tal como o nome sugere, é um projecto da Google que tem como principal objectivo investigar/descobrir vulnerabilidades em softwares que não sejam da Google. Depois do “ataque” à Microsoft, a Google publicou agora três falhas de segurança do OSX.
As falhas estão publicadas aqui, aqui e aqui. É verdade que, para explorar tais falhas, é preciso ter acesso físico à máquina mas, nem por isso, deixam de ser vulnerabilidades críticas.
Segundo consta, as vulnerabilidades foram reportadas à Apple em Outubro de 2014 mas, até ao momento, a empresa de Cupertino não lançou qualquer actualização. Passados 90 dias sem resposta, a Google decidiu dar a conhecer publicamente tais falhas.
Via Project Zero
Este artigo tem mais de um ano
Descobrir estas falhas é importante para a segurança e se uma empresa as ignorar (como a Apple fez) muito provavelmente será atacada e depois os utilizadores irão ficar furiosos… eram bom que a apple ouvisse a goole e corrigisse já! assim evita mais problemas no futuro. a google já avisou…
“Mas mesmo que o fizesse, a atualização teria de passar pelo cunho dos fabricantes parceios e teria ainda de passar pela validação dos operadores de telecomunicações. E é esta pirâmide que também condiciona o processo de atualização do Android como sistema operativo no geral.
Numa outra intervenção, a Google esclarece que já não suporta dispositivos de terceiros e que tenham o Android Browser, navegador nativo que durante várias versões do software foi incorporado de origem nos telemóveis. A única solução é migrar para uma versão mais recente do Android – algo que para muitos fabricantes não é sequer uma opção. ”
tudo dito.
A lógica dos argumentos: interessa o conteúdo ou a forma? Se a forma como o Android é distribuído, adaptado, etc.. está errada, tal não serve de argumento para justificar as vulnerabilidades do sistema (o conteúdo)! Ou seja, parece que pelo sistema de distribuição implementado pela Google ser ‘mau’, tal justifica (e desculpa) a incapacidade da empresa para dar uma resposta célere aos problemas detectados! Mas para os outros (independentemente das razões), 90 dias já é mais do que suficiente!!!
LOOOL!!
Não se está a falar de OS’s para smartphones mas para computadores! Se não sabes do que fala o artigo, não faças figura de urso a comentar!
Quem te disse que a Apple ignorou? Que se saiba não ignorou.
Uma das vulnerabilidades poderá já ter sido parcialmente corrigida. As restantes serão corrigidas com o OS X 10.10.2, actualmente em fase beta.
A questão aqui é dos 90 dias. Já da última vez a política dos 90 dias do Project Zero da Google deixou a Microsoft furiosa. É que não se limitam a caracterizar a vulnerabilidade – dão elementos suficientes para que hackers “encartados” as possam explorar.
Como diria o outro, “Há-de arranjar muitos amigos assim” 🙂
P.S. Soube-se que a Google decidiu orientar o esforço dos hackers que contratou para o Project Zero para detectar vulnerabilidades no ser próprio software e no Android 😉
trabalhem rápido 3 messes da para muita coisa quando existem centenas de programadores envolvidos.
8h*22Diasuteis*3messes*300programadores=158400H de trabalho
e digamos que tanto a apple com a Microsoft tem muitos mais programadores do que isso.
deixem de parte o trabalho que estão a resolver e invistam na segurança.
Isso é fácil de dizer quando é uma aplicação, mas num sistema, em que milhares de aplicações dependem, a coisa não é assim tão simples, sendo necessário testar profundamente para que não crie outros problemas e incompatibilidades!
Sim, agora vai ser a Google a ditar a alocação de recursos internos da Microsoft e da Apple…
E que tal se eles começassem por resolver os bugs deles ou mantivessem suporte para versões de android mais antigas durante mais tempo, já que nunca resolveram falhas dessas versões??
“Google a ditar a alocação de recursos internos da Microsoft e da Apple”
Não cada empresa sabe de sim, depois olha não se queixem, que a google publique falhas de segurança.
Andam a dormir a sombra da bananeira
” ignorar (como a Apple fez) ”
uma delas já está corrigida há muito tempo e as outras estão corrigidas nas versões beta do update que deve sair dentro de pouco de tempo.
Tudo muito bem. Tudo óptimo. Mas a credibilidade conquista-se quando os telhados de vidro são escassos! Caso contrário, a falta de coerência só mina a credibilidade da google (mais preocupada com os problemas de segurança da concorrência do que a encetar esforços na resolução dos seus). Mas essa táctica ‘militar’ é um cânone…
Cara o google atualizou o software só que empresas como a Samsung que não atualizaram em seus aparelhos
Parece-me que não leu bem o conteúdo da notícia…
Apoio a google a 100% nisso!
Isso serve para forçar as marcas a atualizar os seus dispositivos. Todos os nexus já estão no 4.4 e 5.0.
Para quê corrigir falhar em versões antigas? As marcas se quiseres corrigir essa falha, têm bom remédio, atualizar os dispositivos.
Mesmo que a google corrigisse essas falhas, se os dispositivos com essas versões mais antigas nem foram atualizados para versões mais recentes, também não iriam ser atualizados com a correcção dessas falhas.
E que tal a Google ter um programa de ciclo de vida e suporte para o Android claramente definido? Seria mais do que correcto para os consumidores! Versões antigas??? Quantos telemóveis ainda existem à venda no mercado (novos) com versões anteriores?
Qualquer dia a Google vai pressionar os fabricantes a lançar a tempo e horas as últimas versões do Android.
De preferência antes dos 90 dias. Depois disso deveriam denunciar! Coerência?
De preferência antes dos 90 dias. Depois disso deveriam denunciar! Coerência…
Isso é que devia ser de valor…quem ficava a ganhar era todos nós e o mundo android no geral
Isto e daquelas coisas em que o culpado é a google, mas será mesmo eles os culpados? Não serão os fabricantes que deviam actualização o sistema, para kitkat? Pois…
Compete à google definir as políticas de distribuição e adaptação do sistema Android! Não o pode vender aos fabricantes e depois lavar as mãos… Se necessitar de políticas mas restritivas para salvaguardar a segurança de todo o sistema (SO e apps), então que o implemente! Está nas suas mãos! (só que dá mais trabalho e menos lucro…)
Falas sem conhecimento de causa. Vai ler a licença do Android.
A google só é directamente responsável pela linha Nexus.
Claro que sim! Só é responsável por aquilo que controla! Tal não significa que o sistema implementado seja o mais correcto. Se a google quer granjear responsabilidade e coerência, então trate de arrumar a casa e estabelecer um sistema mais aceitável e responsável!
É a google que define as regras, certo?
@ Cris
e…? Isso de alguma forma resolve os bugs nos 99,9% de aparelhos que correm o sistema operativo Android?
Só porque há mais empresas responsáveis pela distribuição das correcções, não retira a responsabilidade da Google na correcção de bugs e falhas de segurança naquilo que na prática é o seu sistema! Aliás foi a própria Google a definir inicialmente esta política de distribuição.
A google corrige o bug. Os outros apenas têm de fazer merge do commit e tratar da distribuição.
Quem não gostar da politica que mude para a concorrência, mas afinal este artigo é sobre OSX ou Android?
Google makes its own rules!!! Esse não é um argumento…
Nome do artigo: Google recusa salvar 930 milhoes de smartphones
Realidade: Fabricantes de smartphones recusam-se a actualizar o OS dos seus smartphones
“Google disse que disponibilizaria as correções aos parceiros caso alguém as fornecesse na versão AOSP do Android – versão de desenvolvimento. É a prova de que a Google não quer e não vai fazer nada relativamente à situação.”
Não tem nada a ver com as empresas ignorarem. Têm a ver com a Google apenas dar 90 dias para corrigirem, testarem e distribuírem uma actualização para um SO. Eu concordo com a Google ou qualquer outra empresa procurar por falhas noutros SOs, mas têm que ser responsáveis como esta informação é divulgada.
ui, que peninha da Google e da Microsoft que tem milhares de milhões de euros para gastar.
Se não resolvem em menos de 1 semana, já é preocupante!!!
Esquecem-se que os clientes pagam para ter sistemas operativos e programas (alguns eventualmente incluídos no preço do sistema operativo)? Não devia ter problemas de segurança para começar!
Deveria ser como nas naves espaciais onde tudo é (supostamente) testado até ao limites e além limites de todas as maneiras possíveis para garantir que tudo funciona… porque qualquer erro pode ser uma catástrofe!
E os fabricantes de sistemas operativos e programas, em especial comerciais, deveriam ser OBRIGADOS a terem os mesmos cuidados! São praticamente os únicos que agem impunemente desde sempre! Quando é que começam a assumir as responsabilidades? Porque não exigem os diversos governos sistemas operativos e programas (pelo menos os comerciais) sem erros e caso sejam detectado algo, no máximo dos máximos 7 dias para resolver… e mesmo assim todo este tempo para testes de qualidade/ compatibilidade. E como os sistemas operativos e programas tendem a estar em sítios por demasiado tempo… incluindo embebidos em aparelhos físicos, deveriam os fabricantes garantir por pelo menos 30 anos a qualidade e lançar atualizações para corrigir erros de programação e problemas de segurança.
As pessoas pagam, é para serem bem servidas. Isto não pode ser só venha a mim, por uma coisa que funciona mais ou menos. É por causa da impunidade que continuam a acontecer problemas uns atrás dos outros… se fosse obrigados a pagar milhões constantemente investiam a sério em todas as ferramentas e pessoal necessário para garantir que nada passava e se passa-se mal fosse descoberto era imediatamente corrigido.
Chega de impunidade neste campo.
Vê se que não sabes como funciona o software.
Pagas para ser bem servido? Boa! Eu também.
Mas não te sentes bem servido com o que pagas? Eu sinto.
Naves espaciais? Sistema operativo e Internet, sem falhas de segurança e sem erros? 30 anos de garantia?
Chega de debitar ignorância!
Lindo discurso, mas o problema passa pela Google ter telhados de vidro (muito, muito, muito vidro…).
Isto é agir de má fé!
Ok, então arranja um fabricante de telemóveis ou computadores que te garanta isso tudo…
E vês quantos milhões te fica…
Não deviam estes senhores explorar o Android deles à procura de falhas, em vez de criticarem a dos outros??? Santa paciência…
hater detected. Aconteceu o mesmo à microsoft. e não percebo que falhas é que o android tem :p
Não sou hater, pelo contrário uso tudo da Google mas a realidade é que a Google tem muito que se preocupar com os seus SO’s. Ainda agora vai deixar todas as versoes inferiores a kit kat vulneráveis, so ha que buscar noticias por essa Internet fora, simplesmente porque cree que ninguém usa Jellybean… Quando a MS deixou o suporte do Windows XP depois de de mais de uma década foi um escândalo.
a questão das falhas no Android é tão melindrosas que a Google nem sequer tem um repositório oficial das falhas de segurança do sistema. Ou se há está muito bem escondido do público…
Não seria o Android mas sim Chrome OS. Android está noutro segmento: iOS, Windows Phone, etc…
Penso que o Chrome OS realmente é mais seguro que o MAC OS e Windows.
Talvez até o façam, só que quando descobrem não divulgam. A única crítica que lhes deixo é não terem um sistema centralizado para fazer updates de segurança ao sistema, que fosse obrigatório para que os dispositivos fossem certificados, deixando os fabricantes só com responsabilidades pelos drivers e apps próprias. Se por exemplo, a Samsung não quisesse lançar o Lollipop para S3/S4, pelo menos os utilizadores continuariam a receber actualizações de segurança da Google. Da mesma forma que alguém recebe updates da MS quando ainda usa um Windows Vista ou 7 seja o computador Asus, HP, Toshiba,…
Agora não chamo a isto críticas. Acho “clubite” a mais alguém considerar isto crítica. Eles investigaram e avisaram a marca. Com esta atitude só pressionam mais a marca a resolver o problema. Não fossem eles, mais cedo ou mais tarde, seriam outros, e em vez desta pressão pública para resolver, teríamos as vulnerabilidades a circular “às escondidas” numa darknet qualquer entre pessoas mal intensionadas.
A google fez muito bem em não corrigir os erros das versões anteriores, os fabricantes não querem fazer actualizações, muito bem não as façam, para a próxima tu como consumidor ja sabes, não compras um samsung, ou uma porcaria qualquer.
Compras um telemóvel de uma marca que saibas que faz actualizações.
se a google não reagir assim as marcas nunca vão actualizar os seus dispositivos.
E algo tem de mudar, é inadmissível pagares 300 ou 400€ por um telemóvel de uma “boa marca”, e o fabricante deixa-te pendurado com actualizaçoes
Estás para aí a mandar bitytes… Aposto que és um Fan da Apple! Aqui fala-se em SO’s para computadores e não para smartphones… Mas se queres entrar por aí, todos os smartphones da apple até ao 4S deixaram de ter update em outubro passado. O iOS nesses dispositivos fica no 7.1.2.
Agora no que respeita aos SO’s para computadores, o ChromeOS é bem capaz de ser o SO mais seguro que por aí anda. Só quem já testou por vários meses os diferentes OS’s (como eu) pode afirmar tal coisa.
fazes sequer ideia quantos aparelhos é que não podem receber o iOS 8? Menos de 10%! E caso haja alguma falha muito grave, não é impossível que a Apple lance uma correcção para o iOS7, como já o fez anteriormente com o iOS6 alguns meses depois do lançamento do iOS7.
É indiferente nesta questão que o Android seja para smartphones e o Windows ou OS X sejam para computadores. Todos são sistemas operativos para aparelhos que se tornaram pontos centrais na vida das pessoas, havendo necessidade de proteger informação importante. Os smartphones pela sua mobilidade até estarão mais expostos a possíveis pontos de ataque
Não me vou aqui armar em troll a justificar a tua resposta, porque a mesma não tem justificação.
Hás-de-me dizer quando é que a Apple saiu uma actualização para uma versão descontinuada. Mostra-me o artigo da Apple! Quero ver!
Não é por nada que se chama “descontinuada”. E quando dizes que os aparelhos a usar o iOS 8 são menos de 10% também é mentira! Mostra-me onde estão essas estatísticas! Que eu saiba e pelo que é mundialmente conhecido, a quantidade de aparelhos a usar versões inferiores ao iOS 8 é de 42% e não de 10% como dizes!
Mantenho o que disse acima, e se queres vir mandar bitytes, justifica-os com notícias fidedignas e não com links para fóruns!
Tenho dito!
Talvez antes de vires com esse comentário devesses primeiro ter lido como deve ser o que eu escrevi e depois dares-te ao trabalho de procurar por informação.
O iOS 6 teve 2 updates a seguir ao lançamento do iOS 7 que ocorreu em Setembro de 2013:
6.1.5 – em novembro de 2013 [para 1 dispositivo]
6.1.6 – em Fevereiro de 2014, isto é, há menos de 1 ano, para todos os dispositivos com o IOS6
procura, é muito fácil de encontrar com o Google!
“quando dizes que os aparelhos a usar o iOS 8 são menos de 10% também é mentira!”
Faz o favor de ler o que eu escrevi.
“fazes sequer ideia quantos aparelhos é que não podem receber o iOS 8? Menos de 10%!”
10% é a percentagem de aparelhos anteriores ao iPhone 4S, aquele que tu tão bem referiste como limite para o iOS8. Isso pode ser visto em algumas estatísticas de empresas que analisam o mercado, como por exemplo
https://www.fiksu.com/resources/ios_8_tracker#iphones-usage
dado que não há estatísticas oficiais da Apple para esta análise
“a quantidade de aparelhos a usar versões inferiores ao iOS 8 é de 42%”
Isso parece mais um valor de há muitas semanas atrás para o uso das versões do iOS, que é o que normalmente se fala, e não da percentagem de aparelhos capazes de usar o iOS8! O valor oficial actual da Apple para o iOS8 é de 69%.
https://developer.apple.com/support/appstore/
da próxima pensa um pouco antes de acusares alguém de mentir! É bem provável que saibam alguma coisa que tu não sabias.
10.10.2
http://www.macrumors.com/2015/01/23/os-x-10-10-2-fix-project-zero-flaws/
A Apple agradece, e é assim que deve ser, na próxima actualização a Apple tem isso corrigido e toda a gente fica contente.
O problema da Google, e ainda não entendeu isso pelos vistos é que mesmo que actualizem o Android, só passado uns meses largos é que chega aos telefones das pessoas.
A grande vantagem Apple para a MS e Google/Android é precisamente a facilidade com que saem os updates, facilidade de instalação bem como de acesso.
Toda a gente com um clique tem acesso sem andar a instalar ROMs, costuras do windows, truques e manhas.
Até o Windows demora mais tempo a corrigir os problemas, salvo raras exepções, demora imenso a corrigir as coisas. Eu sempre fui utilizador Windows e para o que faço, é o melhor custo beneficio, no entanto se trabalhasse com algo dependesse do PC, era MAC que comprava,para trabalhar, sem duvida Apple.
Como respondi acima, o Android deveria ter um repositório centralizado de updates e ser obrigatório para que um dispositivo fosse certificado para receber as Apps da Google.
Já tem, chamam-se Google Play Services…
Sabes perfeitamente que isso está longe de poder corrigir todo o sistema!
Até parece que a MS não faz fácil a actualização. Lançam fixs muito frequentemente e suportam por anos a fio.
Não concordo, o que tu vês de updates não acompanha a evolução das ameaças, alias nem por sombras.
Outro problema grave na MS, tens 600 actualizações e sao raras as que sabes o que corrigem. Mais valia fazer como a a Apple faz, explica sempre o que vai corrigir.
KB352356236 é o que sabes 🙂
Sem comparação a optimização de segurança e evolução do sistema a Apple dá 10 a 0. E nem deveria ser assim, MS com tantos anos ja deveria ter mudado radicalmente o metodo.
Repara quando sai um Windows totalmente novo, nao tens forma de actualizares directo, tens de sacar ou usar DVD para instalar de novo. Tanta coisa diferente para pior.
Que eu saiba, e não sei assim tanto sobre os OSX, quando sai uma nova versão é só sacares e instalares, não tens de formatar, ou usar um DVD (que nem sequer existem leitores e muito bem) para instalar.
Windows está anos luz parado no tempo, MS é o perfeito exemplo de viverem em cima dos louros passados.
Android sabemos bem os problemas de actualizações e utilização nos terminais é muito muito limitada, alias é quase uma rifa da sorte quando compramos um Android. Tudo a rezar por updates lol é ridiculo principalmente ao nivel dos topo de gama, mas enfim cada um sabe.
Nada disso!
A diferença é que a MS lança atualizações individuais, a Apple lança várias num “pack” normalmente.
A MS dá-te informações de cada atualização, basta procurar pelos “KB”…
Podes ir ver o que arranjam no site deles.
Não precisas de um DVD podes por num USB.
O Windows 8.1 actualizou pela store, e o 10 também, podes actualizar para versões superiores sem perderes toda a informação.
Patch Tuesday,senao sabes o que é não sabes o que é o Windows.
Concluindo não percebo o que te referes com o teu comentário.
Windows é das mais rápidas e constantes a corrigir falhas…não sei onde foste buscar essa ideia, alias a MS dá mts mais anos de suporte que a tua Apple…mas enfim é nas mentiras que eles andam felizes
Isto é uma falha no OS X, não no iOS par estares a comparar com o WP ou Android.
Na realidade a Microsoft no desktop tem a vantagem sobre a Spple em termos de correcções. A Microsoft decide ir regularmente corrigindo os erros e actualizando o sistema. A Apple lança as correcções de uma assentada, mas entretanto os utilizadores enquanto não é lançado o pacote de correcções ficam vulneráveis. A Microsoft lançou a correcção do problema reportado pela Google no dia 13 de Janeiro, a Google divulgou-o no dia 2 de Janeiro. Quero ver se no dia 4 de Fevereiro a actualização da Apple já se encontra disponível para instalarmos.
Tenho um Desktop Windows 8.1, um MacBook Pro OS X e como utilizadora regular dos dois sistemas e já que estamos a falar de atualizações, devo-te dizer que tu é que precisas de te atualizar.
As atualizações do Windows estão muito bem documentadas na página oficial e os códigos KB servem precisamente para identificar inequivocamente a descrição de cada atualização.
Neste momento estou satisfeita com os dois sistemas. Não vejo onde estão as diferenças na qualidade de suporte, sendo que a Microsoft é claramente mais ativa nas atualizações.
Quanto ao teu conselho do Mac para trabalhar, lá está, depende de muitos factores. Ambos os sistemas são excelentes plataformas de trabalho. Mas dependendo da área e requisitos em que trabalhas, pode existir melhor suporte profissional para Windows, ou para Mac OS.
Ainda não percebes-te que aqui fala-se de OS’s para computadores??
Não mistures os OS’s para smartphones, porque não têm nada a haver!
Tenho produtos apple, microsoft e android e devo dizer que concordo com a atitude da google. Se após o aviso, continuar a falha acho bem que divulguem, porque como eles sabem hackers também o poderão saber e assim apressa as correcoes.
Percebeste que se os hackers não sabiam a Google fornece informação suficientemente detalhada para que passem encontrar forma de explorar a vulnerabilidade?
O que a Google está a fazer é: “Está aqui a vulnerabilidade, têm 90 dias para a corrigir, senão divulgamos informação suficiente para ser explorada. Nem quero saber se precisam de mais tempo para a corrigir – ou mesmo se a conseguem corrigir ou não”.
mesmo com os 90 dias e não conseguem resolver o problema, algo de ERRado se esta a passar.
Se a google não desse um prazo como era… ia-se arrastando infindavelmente, era ate lhes dar na telha.
É uma falha de segurança tem de se mover os recursos todos para reparar isso, e os 90 dias é uma forma de isso acontecer.
Vamos supor o navio esta com uma rotura na casco tem 12H para ser reparada, opa se for preciso vai o cozinheiro e tudo ajudar e nem ha almoço, ate o capitão ajuda a carregar baldes de agua.
E é assim que tem de ser!!
Depois de uma equipa de hackers ter descoberto uma vulnerabilidade já é muito manter a informação secreta durante 3 meses, para além de haver fortes probabilidades de outros já a conhecerem, por isso torná-lo pública é a melhor maneira de a tornar inútil.
A equipa de hackers trabalha para a Google, no Project Zero. Com tempo e vagar, vê se encontras uma explicação para o que dizes – como é que, para uma vulnerabilidade em que não existe fix, a sua divulgação detalhada a torna “inútil” (deixa de poder ser explorada).
Diz-me tu uma vulnerabilidade tornada pública que seja útil. A partir do momento que é tornada pública, para além dos atacantes que já a conheciam, as vitimas passam a conhecer também e portanto a precaver-se e a exigir medidas por parte dos responsáveis, e o fix acaba por surgir rapidamente.
Deve ser a Microsoft, que já foi vítima da Google, que está enganada (o link está num comentário abaixo):
“o histórico de vulnerabilidades que são publicamente divulgadas antes de as correções estarem disponíveis é muito pior , com mais frequência os cibercriminosos orquestram ataques contra aqueles que não as conhecem ou não podem se proteger”.
O que a Google está a fazer é divulgar as vulnerabilidades e, praticamente, mostrar como podem ser exploradas. Tira a venda dos olhos. O tempo da Google “Don’t be evil” já era. Neste caso está-se nas tintas para a segurança dos utilizadores ao atacar (não sei para que são as aspas no título) os concorrentes.
desculpa mas essa lógica não faz qualquer sentido! Se é para simplesmente pressionar bastaria comunicações públicas genéricas sobre falhas e não a caracterização completa das falhas e até com código para aproveitamento das falhas.
Se antes poderia haver a possibilidade remota de mais alguém saber e aproveitar, agora é a certeza que qualquer um sabe e pode aproveitar. Isto está muito longe duma atitude responsável. Daqui a nada estamos a ver a Microsoft e a Apple a financiar a publicação de falhas nos sistemas da Google como arma de arremesso, e tendo em conta o tempo deplorável para que os telemóveis Android sofram updates, a coisa vai ficar feia!
“o tempo deplorável” Estas vão em três meses e a contar… se não fossem tornadas públicas, quanto mais tempo os hackers continuaram a aproveitar-se das mesmas?
Tudo indica que todas as vulnerabilidades já estão corrigidas num update que já anda a circular em versão beta há algum tempo – uma delas até já deve estar corrigida na versão actual!
Tu não fazes ideia se 3 meses é muito ou não para a correcção dentro de portas destes bugs. Mas mal a correcção sai, com o conhecimento público generalizado, rapidamente toda a gente tem acesso à correcção, enquanto que no Android sai a correcção e o mais certo é demorar meses [ou talvez nunca] a chegar às pessoas, a somar ao tempo que demorou a criarem a correcção. Isto parece bem mais grave e sério.
“quanto mais tempo os hackers continuaram a aproveitar-se das mesmas”
Isso é bem verdade, assumindo que eles sabem! Mas se antes da divulgação não havia a certeza que havia hackers que soubessem aproveitar, agora há a certeza que muitos hackers sabem e podem fazer já “hoje”, pois deram tudo o que é necessário para isso!
Se a divulgação fosse generalista haveria a “humilhação” das empresas, sem pôr imediatamente em causa a segurança das pessoas!
“Segundo consta, as vulnerabilidades foram reportadas à Apple em Outubro de 2014 mas, até ao momento, a empresa de Cupertino não lançou qualquer actualização.”
Falso! uma delas já foi corrigida, e as outras estão corrigidas em versões beta dum update que deve estar quase a sair!
O criticável é a Google lançar estas falhas publicamente sem qualquer tentativa de coordenação com os vendedores, e pior ainda dando todo o material necessário para que seja logo aproveitada por outros.
Parece que tudo vale neste momento!
Boas Nunes,
Onde tens essa informação oficial? Manda link sff
Há vários sites a dar essa indicação
http://www.imore.com/latest-os-x-10102-beta-kills-google-disclosed-vulnerabilities-dead
Mas publicamente onde está essa informação? E onde está a correcção? Isso é que não encontro.
a própria página da google para um dos bugs aponta para essa possibilidade ainda não confirmada!
Quanto aos outros bugs, se o update está em versão beta não há comentário oficial, mas é essa a análise feita por outros.
e a questão é a afirmação peremptória
“Segundo consta”…”empresa de Cupertino não lançou qualquer actualização”
quando circula informação a falar na existência de correcções
“Publicamente”? A Apple nunca dá pormenores sobre vulnerabilidades corrigidas (por corrigir, então, nunca diz nada). A única indicação que aparece é uma descrição muito genérica e os “créditos” (nome) de quem a comunicou.
““Publicamente”? A Apple nunca dá pormenores sobre vulnerabilidades corrigidas”… lá está, já que a Apple não o faz, alguém tinha de o fazer, destapa-se a careca e deixam de esconder a coisa para fazer boa figura 😉
@ LP
A Apple tem uma base de dados onde qualquer um pode consultar todas as vulnerabilidades que já foram corrigidas em versões anteriores.
As únicas coisas que não tem são a caracterização exaustiva dessas vulnerabilidades, ou o código capaz de aproveitar essas vulnerabilidades.
Gosto da Google e sou utilizador de Android, mas acho este tipo de atitudes um bocado estúpido, venha de quem vier. Cada empresa deve preocupar-se com as falhas do seu sistema (porque não há nenhum perfeito!) e não com as dos outros.
Se for para alertar, deviam fazê-lo directamente à empresa (neste caso a Apple) e não publicamente.
Fazem – 90 dias antes de passarem os detalhes aos hackers.
eles alertam 1º a empresa antes de vir a publico.
Alias é de louvar a google, ela procura falhas de segurança em outros sistemas operativos.
Até deviam ser era pagos por isso, estão a trabalhar de borla para os outros.
Para que nos comuns dos mortais estejamos + protegidos.
Epa não gostam da politica da Google tem bom remédio, explorem as falhas de segurança da mesma e deixem um prazo de 90 dias para resolver.
Eu como utelizador de produtos da google agradecia, não ficava nada chateado
Não concordo. E não concordo porque se um browser tiver vulnerabilidades pode por em causa dados de outros serviços e com isso arrastar o bom nome deles para a lama.
Se todos agissem dessa forma… as vulnerabilidades eram muito menos e os utilizadores estavam muito ais salvaguardados. Eu compro produtos Apple e não produtos Apple com bugs que me possam prejudicar.
LOGO para o teu bom nome não ir para a lama, E mais importante ainda para os utilizadores estarem seguros, tens 90 dias para o arranjar.
de que vale o nome da tua empresa estar muito bem, se debaixo do tapete é so buracos?? quem fica prejudicado são os utilizadores que ficam na ignorância e pensão que estão a usar um serviço seguro.
“Eu compro produtos Apple e não produtos Apple com bugs que me possam prejudicar”
Explica-me la como sabes que não compras produtos Apple com bugs que me possam prejudicar, se nao houve-se empresas como a google e pessoas a fazer testes de segurança?
A apple como a google como MS, etc iria sempre dizer que nao tinha erros (e não estava a mentir a própria empresa desconhecia o problema)
Miguel, estás a meter os pés pelas mãos.
O que referi é que é necessário haver pressão do mercado, pressão de terceiros (nem que sejam empresas concorrentes) para que determinados players não se deixem ficar à sombra da bananeira. Esta acção da Google é de louvar, ainda mais porque, além de ajudar outras empresas, também se ajuda a si e principalmente… ajuda todos os que usam produtos que têm o devido problema.
Não mistures mais nada, este bolo é simples e os ingredientes são estes. 🙂
Abraço.
Pois, é que expondo publicamente as falhas, de certa maneira põe as pessoas à mercê de possíveis ataques. É claro que não é certo que vá acontecer, mas a probabilidade aumenta bastante.
Agora, se fazem isso por avisarem a empresa X sobre problemas de segurança nos seus serviços e a empresa em questão ignora (não estou a dizer que foi o caso), já compreendo que o façam porque tornando-se público, vão ser pressionados para tomarem medidas.
“Google descobre falhas no OSX” (nem foi no iOS)
Comentários:
O Android ainda é pior… Lol!
É verdade!
Esta gente é tão estúpida que quando se fala em “Google” pensam logo em “Android”. Nem sequer sabem (alguns deles) que a google tem outros sistemas operativos (nomeadamente o ChromeOS que é o que se pode comparar com o OSX).
Como diz o Thomas F. Wilson no filme Regresso ao Futuro: “São todos umas bananas! É só bananas!” 😀
Acho uma acção muito responsável. Alias, o facto de dar 90 dias para as resolverem antes de virem a público é só por si uma sinal de boa fé.
Não corrigem? Vai a público, aposto que serão em breve todas resolvidas.
Aplaudo esta iniciativa da Google, assim previne uma estado vegetativo de muitas empresas quando deixam os seus utilizadores vulneráveis.
Muito bem.
Muito responsável mesmo 😉
Tomemos o caso recente da Microsoft.
A Microsoft pediu à Google que que atrasasse a divulgação dois dias – em vez de fazer a divulgação aos 90 dias fazer aos 92 – porque o fix estava integrado no conjunto que ia sair, dentro do calendário habitual. A Google, mostrando a sua pesporrência, não o fez.
Como agora, no caso da Apple, os fix irão sair, com a actualização do OS X, que está para breve.
A Microsoft ficou furiosa – e com razão. O que a Google está a fazer ē a denegrir os concorrentes, sem se preocupar com a segurança dos utilizadores.
http://microsoft-news.com/microsoft-reveals-that-google-released-details-on-windows-vulnerability-despite-their-request-to-delay-it/
Achas mesmo que o objectivo é os “denegrir os concorrentes”?
Acho. Contrataram hackers para detetar vulnerabilidades no software da concorrência e comportam-se pior que, habitualmente, os hackers na divulgação de vulnerabilidades para as quais ainda não existe fix.
LOOOL eles tem um prazo de 90 dias.
ha para ser no calendário de actualizações.
Não achas ridículo??
É o mesmo que estares a morrer em casa e o INEM, ha agora esta na nossa hora de almoço, espera 2h que vamos só comer.
Benchmark não jogue pérolas aos porcos, eles preferem lavagem.
“Não corrigem? Vai a público, aposto que serão em breve todas resolvidas.”
A questão é mesmo essa.
As falhas não foram ignoradas, a actualização ja está em fase de testes…
http://www.iphonehacks.com/2015/01/os-x-yosemite-project-zero-vulnerabilities.html
Porreca, o que diz o artigo é que a Google ignorou as críticas da Microsoft. No caso das actualizações, aquilo que dizemos é “Segundo consta, as vulnerabilidades foram reportadas à Apple em Outubro de 2014 mas, até ao momento, a empresa de Cupertino não lançou qualquer actualização”. Em lugar algum dizemos que as falhas foram ignoradas! 😉
A minha opinião enquanto leitor:
O trabalho que a Google está a fazer é importante pois assim penso que se acabou o “comodismo”. Microsoft, Apple (e outras) vão-se sentir pressionadas e rapidamente vão resolver as vulnerabilidades detectadas pela Google…quem ganha com isto tudo é o consumidor final que assim vê o bugs resolvidos rapidamente.
Nem mais. Quando os outros fizerem o mesmo com produtos da Google como o Android: “Têm 90 dias – e nem mais um – para corrigir esta vulnerabilidade, senão publicamos os detalhes que permitem que seja explorada” – vamos ver em que ficamos.
Eu acho que os outros vão contra-atacar 😀 Se o fizerem, o Android vai ficar afinadinho (eh eh eh)
claro ou como é que o mundo evolui??
eu gostava de ver isso a acontecer com a google, e sou um utilizador da google.
É melhor que ficar na ignorancia
mesmo!? Considerando o tempo enorme que as correcções demoram a chegar à grande maioria dos utilizadores, uma divulgação exaustiva de vulnerabilidades no Android poderia se tornar um pequeno grande desastre. Mais de 60% dos utilizadores têm uma versão com pelo menos 1 ano, com pouca ou nenhuma possibilidade de receber correcções de segurança.
Sobrevaloriza-se o facto de cederem informações das vulnerabilidades ao público geral. O meu padeiro e o sr. ali da bomba de gasolina podem ler o que quiserem do que foi publicado que nada muda; quem sabe/pode/quer aproveitar as vulnerabilidades conhece-as desde cedo sem necessidade disto, é sabido que estas informações circulam rapidamente dentro de círculos restritos e portanto o efeito disto é apenas o de deixar as potenciais vitimas em alerta, nada mais.
Quem vos diz que eles não andam a fazer isso ao próprio Android?
+1
Gostava que isso acontecesse, é que assim, mesmo que a vulnerabilidade não fosse corrigida eu sabia que a tinha e sempre podia tomar algumas medidas para as evitar ou atenuar.
Ok pplware, já percebi a vossa (in)coerência. A censura é a arma dos estultos. Quais as regras que estão a utilizar? É aleatório? Só porque não gostam? Há regras que só são aplicadas a mim? (por exemplo, entre outros, a questão de censurarem links externos).
As regras são: “excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros.” É simples: fundamentem (posso ser burro e não perceber os vossos critérios).
Já agora, onde está o provedor do pplware?
Camones, em 32 comentários que fizeste até ao momento só dizes asneiras….e mais não digo!
Provedor? Tens aqui: https://pplware.sapo.pt/contacto/
Nota: Gostava de ver no Pplware comentários teus a contribuir para que se aprenda qualquer coisa. Sei que és capaz…vamos lá!
Podes começar por expor os comentários em que corrijo erros ortográficos de alguns dos teus textos (são asneiras, certo?)
Um link para uma notícia sobre a Google é asneira?
A mim parece-me que TODAS as empresas deviam fazer como a Google e mostrar umas às outras o que podem melhorar: säo vantagens para todos (desde que todas os facam, e näo só 1 ou outra).
Outra parte boa é desmistificar que o OSX “näo tem falhas” e que quem usa OSX/iOS está imune, e que quem usa Windows/Android está condenado com montes de “buracos”.
Com sorte andam hackers a sugar info dos users de OSX sem saberem, e como näo sai nada a público, nem sabem…
A Google tem uma equipa a procurar, há vários anos, problemas de segurança no Mac OX e o Windows…
No Mac, encontrou, salvo erro, 6, dos quais 3 foi há noventa dias e um deles já estava corrigido na última versão dos sistema operativo!
No Windows, encontrou já várias dezenas, e a MS também não corrigiu os últimos dentro dos 90 dias!
Ninguém bem informado diz que o Mac OS X e o iOS não tem falhas… Mas que tem menos que a concorrência é um facto!
Já agora, destes 3 problemas de segurança poderem ser explorados, seria necessário o atacante ter acesso fisico à máquina… Que é uma componente comum à maior parte, não digo todas, das falhas de segurança no Mac.
O Windows é um SO gigante e complexo, quer funciona em chips Atom antigos até em servidores, que suporta virtualmente uma combinação infinita de hardware, e até Mac. Para além de dar uma liberdade muito superior e apreciada de desenvolvimento, alterar os registos, etc.
Não podes estar à espera que um SO assim (Windows, Android, Linux) seja tão imune como um OSX. Até agora, depois de décadas com Windows nunca tive problemas, faço apenas os updates da empresa, e a nível de vírus só nos tempos em que ninguém tinha firewalls ou anti vírus instalados, e descarregando joguitos para experimentar ou algo desconhecido da net.
Hoje os updates são automáticos, o anti vírus cobre (até ver) tudo, a firewall esta actualizada e só os buracos para a CIA é que de certa que estão lá.
Não sou programador, mas penso que isso de ser gigante… O MacOS X, tem como base o UNIX, que corre em montes de sistemas… O próprio MacOS X pode ser instalado em qualquer marca, desde que se mexa nos comandos que verificam se é uma máquina Apple, instala (são os chamados Hackintosh).
Eu sei que, com as máquinas actuais, ter um antivírus a correr por cima do sistema e verificar tudo, não é significativo em termos de performance, mas que é mais um serviço que consome recursos, é um facto.
E mesmo assim, com antivírus actualizados, já por várias vezes assisti a problemas graves com antivírus em escolas onde trabalhei. Há 2 anos, não foi assim à tanto tempo, um vírus transformava as pastas das pen, em atalhos e fazia desaparecer tudo… Foi um ver se te avias… E passada algum tempo, noutra escola, voltou a aparecer… Tudo pessoal com Windows e com antivírus actualizados… segundo eles, não sei!
O Windows, e o Mac, é utilizado por muita gente que não tem conhecimentos técnicos para ter os devidos cuidados para evitar problemas, como muito pessoal diz. Por isso, os sistemas tem que ter mecanismos de segurança fáceis de utilizar e que estejam activos por predefinição. E, nesse aspecto, o Mac é muito mais seguro.
Sou a favor e contra.
Acho bem a google andar a testar os SOs concorrentes à procura de falhas e a reportá-las aos seus donos?
Sim, acho.
Acho bem ao fim do tempo que estipularam publicarem “detalhadamente” o erro ao público em geral?
Não, não acho. Perferia que publicassem num plano mais geral, para se alguém se quiser aproveitar ainda ter algum trabalhino pela frente. Agora se o dono não dá mais suporte, sim força com isso em detalhe. Pode ser que haja alguma alma caridosa; embora se não houver mais suporte provavelmente é má ideia continuar com esse SO.
Acho bem a google ter um prazo aparentemente inflexível e genérico de 90 dias quer faça chuva ou faça sol?
Não, não acho. Há problemas e problemas e nem todos podem ser resolvidos no mesmo espaço de tempo.
Onde estão as autoridadades que não botam esses vagabundos na cadeia.
Opa estas novelas já não interessam, só quero é que venha já o Windows 10 final 🙂
Depois de ler o artigo e os inúmeros comentários aqui colocados por diversos utilizadores, não sei se deva rir ou se deva chorar com tanta ignorância que por aí anda…
1 – A Google tal como as outras empresas não têm apenas OS’s para smartphones. Desenvolve também OS’s para computadores.
2 – O tema tratado neste artigo diz respeito ao OSX e não ao iOS, portanto não façam comparação com Android porque é o mesmo que comparar um carro com uma mota. Se querem fazer comparações com o OS da Google, façam-no… é o ChromeOS.
3 – O ChromeOS é um OS seguro, é verdade! É mais seguro que o OSX? Não sei.
4 – Acho bem que a Google descubra falhas de segurança nos concorrentes e os alerte para isso. Acho bem que a Google disponibilize as falhas ao público após 3 meses. 3 Meses é muito tempo para uma falha ser corrigida. Por ser uma falha de segurança, essa até devia ser resolvida o mais brevemente possível! No que toca a Apple, já vimos todos (ainda recentemente) falhas de segurança serem descobertas logo após o lançamento de uma versão, e 2 dias depois, essa falha ser corrigida com outra actualização! Se a Apple não corrige uma falha em 90 dias, é porque não está interessada em corrigi-la!
Para terminar, eu sou programador e técnico numa empresa mundialmente conhecida e presente no top10 das empresas mais ricas do mundo. No ano passado, uma falha de segurança foi descoberta na infraestrutura e todos (quando digo todos, é mesmo todos) os projectos entraram em stand-by e foram movidos para servidores seguros durante 9 dias (tempo que levou a que a falha fosse corrigida). A isto não se chama “perder dinheiro” mas “salvaguardar os interesses” tanto da empresa como do consumidor.
O chromeos é mais uma distro Linux que um SO.
É só isso: uma distro minimalista Linux com o browser instalado…
Acesso fisico a maquina, se me roubarem o computador o menor dos problemas sera um destes bugs